企業の「情報セキュリティ10大脅威」ランキングで分かる傾向と対策
- 2018/5/19
- セキュリティ対策
現代のビジネスはインターネット、いわゆるネットワークを構築していなければ成立しないといっても過言ではありません。
そのネットワーク環境を構築するための技術は次々に新しいものが開発され、どんどん便利になっています。
しかし、良いことばかりではなく、情報セキュリティに悪影響を与える技術も合わせて進化しているのです。
企業の業種や規模に関わらず、
- 機密情報の漏えい
- 顧客情報の流出
- ウイルス感染によるシステムの破壊および停止
などの被害がほぼ連日のように報道され、企業においても多額に資金と技術を投入して情報セキュリティ対策を推し進めています。
今回は、情報処理推進機構(IPA)から発表された「情報セキュリティ10大脅威 2018」のランキングから見える現在のセキュリティ被害の傾向と、その対策法を簡単にご説明いたします。
目次
1、「情報セキュリティ10大脅威 2018」から見える現在の傾向
「情報セキュリティ10大脅威 2018」とは、情報処理推進機構(以下「IPA」)が、2017年に発生したセキュリティ被害を基にして10段階のランキングにまとめたもの。
概略は、2017年に発生した影響が大きかった情報セキュリティ被害の中からIPAが脅威となる候補を選出。その後、情報セキュリティ分野の研究者や企業のシステム実務担当者など、約100名のメンバーからなる「10大脅威選考会」を招集して、脅威候補に対して審議~投票を行いTOP10としてまとめたものです。
個人部門と組織部門に分けてランキング付けされ、組織部門のランキングは以下の通りとなっています。
順位 | 被害内容 | 2017年順位 |
---|---|---|
1位 | 型攻撃によ標的る被害 | 1位 |
2位 | ランサムウェアによる被害 | 2位 |
3位 | ビジネスメール詐欺による被害 | ランク外 |
4位 | 脆弱性対策情報の公開に伴う悪用増加 | ランク外 |
5位 | 脅威に対応するためのセキュリティ人材の不足 | ランク外 |
6位 | ウェブサービスからの個人情報の窃取 | 3位 |
7位 | IoT機器の脆弱性の顕在化 | 8位 |
8位 | 内部不正による情報漏えい | 5位 |
9位 | サービス妨害攻撃によるサービスの停止 | 4位 |
10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 9位 |
1位の標準型攻撃とは、メールの添付ファイルの開封させる、悪意あるWebサイトにアクセスさせることでPCをウイルスに感染させる手口の総称。この被害は、細心の注意を払っていても手口が巧妙化していることもあり、被害件数や損失は大きいものになっています。
次に問題なのは、身代金型ウイルスと呼ばれる「ランサムウェア」の被害。2016年頃から被害が確認されるようになり、昨年2017年は対策が進んで被害規模は縮小するとみられていたようですが、こちらも手口が進化し巧妙化していることから、被害の縮小には至っていません。
また、3位から5位までは昨年ラング外からランクインした事例。4位の脆弱性対策情報の公開に伴う悪用増加は、ソフトウェア会社では脆弱性対策情報を定期的に公開していますが、その情報を攻撃者に悪用され、該当するソフトウェア製品を利用した対策前のシステムを狙うといった新たな手口です。
5位のセキュリティ人材の不足は、企業においてセキュリティエンジニアの育成に取り組んでいるようですが、どの業界にもいえることで人材不足の傾向が強いようです。
以上のように、年々新たな手口による被害が発生する傾向があるので、企業側として被害の実態をしっかり認識した上で、専門家を交えてしっかりした情報セキュリティ対策を行う必要があります。
2、現状企業が行うべき情報セキュリティ対策とは?
では、実際に起業側はどのような情報セキュリティ対策を行えば良いのか?
傾向として、標準型攻撃を筆頭に電子メールを介して被害を受けるケースが多いことが分かります。また、PCやサーバーの脆弱性を突いた攻撃も巧妙化しているとも言えます。
そこで、企業が行うべき基本となる対策と、電子メール対策とランサムウェア対策について簡潔にご説明いたします。
基本対策
まずは社員個人で利用するPCには「セキュリティ対策ソフト」のインストールが基本。次に、脆弱性とはOSやソフトウェアの欠陥、つまり脆弱性対策は、OSやソフトウェアは常に最新のアップデート情報に更新しておくのが重要になります。
ただし、4位の脆弱性対策情報の公開に伴う悪用増加といった新たな脅威も現れているので、不審なアップデート情報には注意が必要です。
電子メール対策
電子メールに関わる被害は、1位の標準型攻撃、3位のビジネスメール詐欺による被害、と上位に挙げられ、企業としてメールセキュリティ対策は重要なものになります。
基本となるのは、
- やり取りがない宛先からのメール
- 会社名や電話番号が記されていないメール
- 件名に「緊急」や「大至急」といった添付ファイルの開封を促すメール
- おかしなファイル形式のファイルが添付してあるメール
など、不審なメールを開かない、添付ファイルを開封しないが鉄則!
また、こうした不審なメールが届いたら、宛先を控えて社内で情報を共有しておくのも有効な対策になります。
送信するときも、傍受されても解読されないようにメール内容や添付ファイルの暗号化、さらに誤送信による情報漏えい防止のため、電子メールの使い方を周知徹底しておくことも重要になります。
ランサムウェア対策
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた名称。コンピューターウイルスの一種であり、「身代金型ウイルス」と呼ばれています。
その手口は、ウイルスに感染したPCのシステムに、利用者がアクセスできないように制限。この制限を解除するため、被害となる利用者に対して身代金(ransom:ランサム)を支払うよう要求するといったもの。
感染経路は主に電子メールが悪用され、標準型攻撃と同様の手口で添付ファイルを開封させることでPCに感染しているケースが多いといいます。
その対策としては先程も説明した通り、不審メールのファイルは開封しないのが基本です。次に重要な対策が、重要なデータは被害を想定してバックアップを取っておくこと。バックアップをしていれば、万一ランサムウェアに感染して身代金を要求されても拒否することができます。
その際、バックアップデータを保存した機器は、PCやネットワークから完全に切り離して保管しましょう。
3、まとめ
今回は、情報処理推進機構(IPA)から発表された「情報セキュリティ10大脅威 2018」のランキングを基に、現在の被害の傾向や対策についてご紹介しました。
以前からある被害はもちろん、新たな被害も次々に現れてくるので、企業側も現状をしっかり把握したうえで、対策を施していく必要があります。特に電子メールを介しての被害件数や損失が大きいことから、メールセキュリティ対策は重要なポイントです。
まずは、不審なメールは開かない、無駄なソフトはインストールしない、といった基本からしっかり守るようにしましょう。